コレクション ポリシーは、Microsoft Purview のイベント収集およびフィルター処理ツールであり、組織の信頼境界の内側と外側の両方に配置されているアプリや場所からのイベントの監視と分類を可能にします。 これにより、信頼されていないソースと信頼されたソースの両方から Purview に取り込まれるイベントをフィルター処理できます。 取り込まれたデータは、Microsoft Purview アクティビティ エクスプローラー、Microsoft Purview インサイダー リスク管理、Microsoft Purview eDiscoveryなど、さまざまな Microsoft Purview シグナルを使用するソリューションによって分類および使用できます。Microsoft Purview データ ライフサイクル管理。
コレクション ポリシーは、次のデータ セキュリティの結果を達成するのに役立ちます。
必要なイベントのみを取り込む
コレクション ポリシーの主な目的は、organizationが Microsoft Purview に取り込みたいイベントを定義できるようにすることで、関心のあるデータに集中できるようにすることです。 この機能がどのように役立つかの例を次に示します。
地政学的な場所別の規制コンプライアンス
organizationは、異なるデータ セキュリティとプライバシー要件を持つさまざまなリージョンで、地政学的および規制上の境界にまたがることがあります。 すべてのイベントを Purview に取り込む必要がある場合もあれば、別の領域で収集できるイベントに関する制限が適用される場合があります。 コレクション ポリシーを使用すると、リージョンごとに収集されるイベントを定義できます。 これにより、各リージョンのデータ セキュリティとプライバシーの要件を満たしながら、organizationの機密情報を 1 つの統合ビューで表示できます。
不要なイベントを除外する
organizationには、収集されるイベントが多数ある場合がありますが、ニーズに関連するイベントのみを表示する必要があります。 たとえば、organizationがすべてのデバイスをオンボードし、エンドポイント DLP 設定でデバイスのファイル アクティビティを常に監査するとします。 つまり、すべてのファイル アクティビティが収集され、アクティビティ エクスプローラーに配置されます。 必要なデータを取得するために不要なデータを整理すると、すべてのイベントをふるいにかけると、イベント調査が遅くなる可能性があります。 コレクション ポリシーを使用すると、アクティビティ エクスプローラーにアクセスする前に表示したくないイベントを除外できます。 これにより、ノイズを減らし、organizationに関連するイベントを簡単に見つけることができます。
コレクション ポリシーのしくみ
コレクション ポリシーを理解する上で重要なのは、イベントが何であるかを把握することです。
イベントは次の 2 つで構成されます。
- [コンテンツに含まれる] や [ファイル拡張子] などの条件は です。 これには、機密情報の種類などの分類子を使用する必要があります。 たとえば、条件として、コンテンツに機密情報の種類が 含まれている 場合があります。たとえば、 米国社会保障番号 や ファイル拡張子が.docxです。
- リムーバブル メディアにコピーされたファイルなど、機密性の高いアイテムに対してユーザーが受け取ることができるアクティビティ
コレクション ポリシーは、次に基づいてイベントをフィルター処理します。
- イベントで定義された 1 つ以上の条件とアクティビティに一致します。
- イベントが発生している データ ソース または場所との一致。 たとえば、コレクション ポリシーのスコープを設定して、デバイスからのイベントのみを収集したり、Fabric で Copilot からイベントのみを収集したりできます。
ポリシーは、1 つ以上の条件が満たされた場合 (ユーザーと条件を除く)、アクティビティがデータ ソースで一致すると見なされます。
単一データ ソースの複数のコレクション ポリシー
organizationは、特定のデータ ソースに対して複数のコレクション ポリシーを作成する必要がある可能性があります。 コレクション ポリシーは、DLP または他の Purview ポリシーとは異なる複数のポリシー シナリオを処理します。これにより、ポリシーの作成順序に基づいてポリシー評価に優先順位が割り当てられます。
[コレクション ポリシー] ページには、作成されたすべての個々のポリシーが表示されます。 ただし、バックエンドでは、ポリシーの評価中に、Microsoft Purview はデータ ソースのすべてのコレクション ポリシーを、そのデータ ソースの 1 つのコレクション ポリシーに結合します。 そのため、データ ソースのすべての条件は、一致を識別するときに使用されます。
コレクション ポリシーへのアクセス
コレクション ポリシーは、Microsoft Purview ポータル分類 子機能のコンポーネントです 。 分類子機能を使用できる Purview ポータルの任意の場所からアクセスできます。 例えば、
Microsoft Purview ポータルで、 ソリューション>Data Loss Prevention>Classifiers>Collection ポリシーを選択します。
または、Microsoft Purview ポータルのコレクション ポリシーにソリューション>Information Protection>Classifiers>Collection ポリシーからアクセスすることもできます。
コレクション ポリシーの構成の概要
コレクション ポリシーを作成および構成する方法には柔軟性があります。 すべてのコレクション ポリシーには、同じ情報が必要です。 コレクション ポリシーの作成を開始する 前に 、この情報を把握しておく必要があります。 サポートされている構成など、各手順の詳細については、「 コレクション ポリシー ポリシーリファレンス」を参照してください。
ポリシーの一致に必要な条件を構成することによって 検出するデータ を定義します。 サポートされる条件は 4 つあります。
-
コンテンツには、機密情報の種類とトレーニング可能な分類子を使用する分類子が含まれています。 すべての分類子、選択した分類子を除くすべての分類子、または特定の分類子のみにスコープを設定できます。
注:
デバイスの場所では、トレーニング可能な分類子の使用はサポートされていません。
- ドキュメント サイズは、バイト、KB、メガバイト (MB)、ギガバイト (GB)、またはテラバイト (TB) で測定された値以上です。
- ドキュメントは、バイト、キロバイト (KB)、メガバイト (MB)、ギガバイト (GB)、またはテラバイト (TB) で測定される場合と同じかそれより小さくなります。
- ファイル拡張子は、ファイル拡張子を利用します。
-
コンテンツには、機密情報の種類とトレーニング可能な分類子を使用する分類子が含まれています。 すべての分類子、選択した分類子を除くすべての分類子、または特定の分類子のみにスコープを設定できます。
ポリシーの一致に必要な アクティビティ を選択する - サポートされているアクティビティはデータ ソースに固有です。 デバイスの場合、リムーバブル メディアにコピーされたファイル、印刷されたファイル、クラウドにアップロードされたファイルなど、19 のサポートされるアクティビティがあります。 サポートされているアクティビティの完全な一覧は、 コレクション ポリシー ポリシー リファレンスで入手できます。
データ ソースを選択して、ポリシーを適用する場所を選択します。
選択したポリシー設定によっては、AI 操作のコンテンツ キャプチャやクラウド アプリ検出方法を有効にするかどうかなど、 構成する追加の設定 が必要になる場合があります。
AI 操作用のコンテンツ キャプチャ
規制要件に準拠するために、ポリシーに追加されたすべての生成 AI データ ソースから検出されたすべてのプロンプトと応答をキャプチャして格納するかどうかを決定できます。 これにより、追加の Microsoft Purview ポリシーとソリューションを使用して、キャプチャされたコンテンツを後で簡単に検出して保護できます。 この機能は、ジェネレーティブ AI と共有されるファイルにコンテンツを含めず、次にのみ適用されます。
- Copilot の経験
- エンタープライズ AI
- ジェネレーティブ AI として分類されたアンマネージド クラウド アプリ
- すべてのアンマネージド AI アプリのアダプティブ アプリ スコープ
設定を有効にしないと、プロンプトと応答で検出されたコンテンツは機密情報のみに制限されます。
注:
AI コンテンツをキャプチャするには、[コンテンツに分類子が含まれています] 条件が [すべて] に設定されている必要があります。
コレクション ポリシーとMicrosoft Purview インサイダー リスク管理
構成によっては、Microsoft Purview インサイダー リスク管理ポリシーの動作がコレクション ポリシーの影響を受ける可能性があります。 インサイダー リスク ポリシーを構成すると、サービスとサード パーティのインジケーターが監視され、リスク アクティビティをすばやく特定、トリアージ、および行動するのに役立ちます。 Insider Risk Management では、Microsoft 365 と Microsoft Graph のログを使用して、リスク インジケーターを識別するための特定のポリシーを定義できます。 これらのポリシーを使用すると、危険なアクティビティを特定し、これらのリスクを軽減するために行動できます。
警告
コレクション ポリシーを構成して展開する場合、監視するように Insider Risk Management ポリシーが構成されているものと、コレクション ポリシーがフィルター処理するように構成されているものの間に競合がある場合は、コレクション ポリシーの構成が優先されます。 つまり、Insider Risk Management ポリシーが特定のアクティビティを監視するように構成されているが、そのアクティビティを除外するようにコレクション ポリシーが構成されている場合、アクティビティは収集されないため、Insider Risk Management で確認することはできません。 これは、Insider Risk Management ポリシーの デバイス インジケーター にのみ適用されます。 Insider Risk Management ポリシーが構成されていないものを収集するようにコレクション ポリシーが構成されている場合、インジケーターは収集されますが、Insider Risk Management はそれを無視します。
コレクション ポリシーとエンドポイント データ損失防止
[デバイスのファイル アクティビティを常に監査する] が有効になっている場合、Office、PDF、CSV ファイルのすべてのアクティビティが既定で収集されます。 この場合、デバイスに対して収集されるアクティビティを変更する場合は、デバイスを対象とするコレクション ポリシーを構成します。 デバイスのファイル アクティビティを常に監査しない場合、コレクション ポリシーがデバイスのスコープで作成された場合でも、アクティビティはデバイスから収集されません。
収集ポリシーは、DLP ポリシーの動作に影響を与える可能性はありません。デバイス上の監査ファイル イベントに対して収集および記録される内容のみです。
コレクション ポリシーとMicrosoft Purview データ セキュリティ態勢管理と Purview AI 用データ セキュリティ態勢管理
Microsoft データ セキュリティ態勢管理 または Microsoft AI 用データ セキュリティ態勢管理 (AI 用DSPM) でワンクリック ポリシーを使用する場合は、代わりにコレクション ポリシーを自動的に作成する推奨事項に対してアクションを実行できます。
これらのポリシーの結果は、ai のDSPMとDSPM内のカスタマイズされたエクスペリエンスとアクティビティ エクスプローラーで表示および監視できます。 これらのポリシーは、クイック ポリシー エクスペリエンスによって自動的に名前が付けられます。 作成後、これらのコレクション ポリシーは、ワークフローを使用して作成されたコレクション ポリシーと同じ方法で表示および編集できます。